阅读了Microsoft Docs文章“ 默认 ”后,对这两个组的描述:
域管理员
该组的成员对域具有完全控制权。默认情况下,该组是加入域时所有域控制器,所有域工作站和所有域成员服务器上Administrators组的成员。默认情况下,管理员帐户是该组的成员。由于该组在域中拥有完全控制权,因此请谨慎添加用户。”
管理员
该组的成员对域中的所有域控制器具有完全控制权。默认情况下,Domain Admins和Enterprise Admins组是Administrators组的成员。管理员帐户也是默认成员。由于该组在域中拥有完全控制权,因此请谨慎添加用户。”
并且同一篇文章指出两个组对其默认用户权限的描述完全相同:
从网络访问此计算机;调整进程的内存配额;备份文件和目录;绕过遍历检查;更改系统时间;创建一个页面文件;调试程序;使计算机和用户帐户受信任进行委派;从远程系统强制关闭;增加调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简介单个过程;剖析系统性能;从扩展坞中卸下计算机;恢复文件和目录;关闭系统;取得文件或其他对象的所有权。
此外,Microsoft Docs文章“ 默认本地组”包括对Administrators组的以下说明:
该组的成员对服务器具有完全控制权,可以根据需要向用户分配用户权限和访问控制权限。管理员帐户也是默认成员。该服务器加入域后,Domain Admins组将自动添加到该组...”
[强调我的]
鉴于以上情况,我不明白:
- 它们之间有什么区别?
- 何时在其默认化身中使用哪个?
- 如何专门从事他们的活动?
- 如果域管理员是管理员成员,这是否使他们始终相等?
该问题是该问题的子问题,并在该问题的上下文中被询问。加入AD的计算机的本地用户的上下文是域计算机帐户还是本地计算机帐户?